ETSI推出AI基线安全标准
欧洲电信标准化协会(ETSI)发布的EN 304 223标准,为人工智能系统设定了基线安全要求,并要求企业将相关要求纳入内部治理框架。随着各类组织将机器学习技术嵌入核心业务运营,该欧洲标准对如何保护人工智能模型和系统作出具体规定。
据介绍,EN 304 223是首个被定位为“全球适用”的欧洲人工智能网络安全标准,已获得各国标准组织正式批准,以强化其在国际市场的权威性和适用性。
欧盟AI法案的重要技术基准
该标准被视为欧盟《人工智能法案》的必要技术基准之一,针对人工智能系统特有的安全风险提出要求,包括数据投毒、模型混淆、间接提示注入等传统软件安全措施难以覆盖的攻击方式。
标准适用于深度神经网络、生成式人工智能以及基础预测系统,仅将严格用于学术研究的系统排除在适用范围之外。
明确三类技术角色与责任
EN 304 223试图解决企业在采用人工智能时长期存在的风险归属不清问题,通过界定三类技术角色明确责任链:开发者、系统运营者和数据托管人。
在实际业务中,这三类角色可能由同一主体兼任。例如,一家金融服务机构在开源模型基础上进行微调,用于欺诈检测时,既扮演开发者角色,又承担系统运营者职责。标准指出,这种情形下企业需同时履行多重义务,包括保护部署基础设施、记录训练数据来源以及对模型设计进行审计。
标准将“数据托管人”单列为独立利益相关方,直接关联首席数据与分析官(CDAO)等职能。数据托管人负责数据权限与完整性管理,并被明确赋予安全责任,需确保系统预期用途与训练数据敏感性相匹配,在数据管理流程中承担安全把关角色。
安全前移至设计阶段
EN 304 223强调,安全不应被视为部署阶段的事后补充。标准要求在系统设计阶段开展威胁建模,将成员推断、模型混淆等人工智能原生攻击纳入考量。
其中一项要求是通过限制功能来缩小攻击面。例如,当系统采用多模态模型但实际仅需处理文本时,未使用的图像或音频处理能力被视为潜在风险,需要进行管理。该要求促使技术负责人重新审视部署大规模通用基础模型的做法,在部分场景下考虑采用更小型、专用化模型。
标准同时提出严格的资产管理要求。开发者和系统运营者需维护完整的资产清单,涵盖各类模型、组件及其依赖关系和连接情况,以便识别“影子人工智能”资产。标准还要求制定针对人工智能攻击的专门灾难恢复计划,确保在模型遭到攻陷时能够恢复至“已知良好状态”。
供应链与数据来源可追溯
在供应链安全方面,EN 304 223对依赖第三方供应商或开源库的企业提出具体要求。如果系统运营者选择使用文档不完善的人工智能模型或组件,需对该决策进行合理说明,并记录相关安全风险。
标准指出,采购团队不应再简单接受“黑盒”式解决方案。开发者应为模型组件提供加密哈希值,以便验证其真实性。若训练数据来自公开渠道(包括大型语言模型常用的数据来源),开发者必须记录数据来源URL及获取时间戳,以形成可追溯的审计链,便于在事后调查中判断模型训练阶段是否遭遇数据投毒。
对于向外部客户提供API的企业,标准要求采取相应控制措施防范针对人工智能的攻击,例如通过速率限制等手段,降低对手通过大量请求逆向工程模型或注入恶意数据的风险。
全生命周期安全与退役管理
EN 304 223将人工智能系统视为需全生命周期管理的资产。标准规定,重大更新(如基于新数据的再训练)应被视为新版本部署,从而触发重新进行安全测试和评估的要求。
标准还将持续监控正式纳入要求范围。系统运营者不仅需通过日志分析保障系统可用性,还应监测“数据漂移”或行为渐变等现象,以识别潜在安全问题,使人工智能监控从单纯性能观测扩展至安全管理。
在“生命周期终止”阶段,标准要求在模型退役或迁移时,必须让数据托管人参与,确保对数据和配置信息进行安全处置,防止通过废弃硬件或遗留云实例泄露敏感知识产权或训练数据。
管理层监督与培训要求
在治理层面,遵守EN 304 223意味着企业需要审视并调整现有网络安全培训项目。标准要求培训内容按角色定制:开发者需掌握人工智能安全编码实践,而普通员工则需了解通过人工智能输出实施社会工程攻击等新型威胁。
ETSI人工智能安全技术委员会主席Scott Cadzow表示:“ETSI EN 304 223在建立保护人工智能系统的共同、严格基础方面迈出了重要一步。在人工智能日益融入关键服务和基础设施的当下,能够提供反映这些技术复杂性和部署现实的清晰、实用指导意义重大。该框架的制定凝聚了广泛协作,意味着组织可以充分信赖在设计上具备弹性、可信和安全的人工智能系统。”
标准制定方认为,通过落实审计链记录、角色定义和供应链透明度等基线要求,企业可在降低人工智能应用相关风险的同时,为未来可能面临的监管审计建立可辩护立场。
据悉,一份后续技术报告(ETSI TR 104 159)预计将专门针对生成式人工智能应用上述原则,重点关注深度伪造和虚假信息等相关问题。
